网站被挂马，是指黑客在网站中植入了恶意代码（比如赌博广告、病毒下载链接、跳转垃圾网站等）。如果你发现网站被微信/浏览器提示“危险网站”，或者打开后自动跳转到别的页面，大概率是被挂马了。

第一步：立即隔离不要慌

临时关闭网站：如果业务允许，先把网站下线或设置访问密码，防止继续传播恶意内容。

备份当前文件：不要直接包括，先备份全部文件和数据库，方便后续分析。

第二步：怎样检测挂马位置？

手动排查：

查看网页源代码（右键 → 查看源代码），搜索“eval”、“base64_decode”、“document.write”等可疑函数。

检查是不是有多余的script标签指向陌生域名（比如.xyz、.top等）。

查看文件修改时间：用FTP或服务器命令，找出最近几小时/几天被修改过的文件，重点检查index.php、config.php、wp-config.php等。

使用工具扫描：

在线工具：Sucuri SiteCheck（免费输入网址扫描），会给出挂马详情。

本地扫描：D盾、河马Webshell查杀工具，上传网站源码后扫描，能找出后门文件。

服务器端：安装ClamAV杀毒软件，扫描Web目录。

常见挂马形式：

在PHP文件中插入加密的一句话木马。

在js文件中添加跳转代码。

利用数据库存储恶意内容（比如XSS攻击）。

第三步：清理和修复

删除恶意文件：根据扫描结果，删除所有可疑的后门文件。

还原被篡改的文件：用备份包括被修改的php/html文件。如果没有备份，需要手动修复（删除恶意代码）。

清理数据库：登录数据库管理工具（phpMyAdmin），搜索“script”、“iframe”等重点词，删除恶意字段。

重置所有密码：包括服务器登录密码、数据库密码、后台管理员密码、FTP密码。

更新所有软件：把网站程序（如WordPress、织梦）、插件、框架更新到最新版本，打补丁。

第四步：怎样防止再次被挂马？

关闭不必要的上传权限和目录写入权限。

使用Web应用防火墙（WAF），比如Cloudflare、阿里云WAF。

定期备份（每天增量备份），一旦出问题快速恢复。

安装安全插件（如Wordfence），监控文件变化。

限制登录尝试次数，防止暴力破解。

测试怎样证实清理干净了？

再次用Sucuri、VirusTotal扫描网站，确定无恶意内容。

在不同浏览器、不同设备上访问网站，看是不是还有跳转或弹窗。

检查服务器日志，看是不是有异常IP不断尝试访问后门文件。

清理干净后，建议向微信、百度提交申诉，解除危险网站警告。